抖音數據採集教程，動靜態結合逆向WhatsApp

抖音數據採集教程，動靜態結合逆向WhatsApp

0x01.hook方法的全部重載

在一篇文章帶你領悟Frida的精髓一文中，咱們已經學會了對放的重載進行處理的方法，咱們先回顧一下代碼：

my_class.fun.overload("int" , "int").implementation = function(x,y){
my_class.fun.overload("java.lang.String").implementation = function(x){

也就是說咱們須要構造一個重載的數組，並把每個重載都打印出來。咱們直接上代碼：

//目標類
var hook = Java.use(targetClass);
//重載次數
var overloadCount = hook[targetMethod].overloads.length;
//打印日誌：追蹤的方法有多少個重載
console.log("Tracing " + targetClassMethod + " [" + overloadCount + " overload(s)]");
//每一個重載都進入一次
for (var i = 0; i < overloadCount; i++) {
//hook每個重載
	hook[targetMethod].overloads[i].implementation = function() {
		console.warn("\n*** entered " + targetClassMethod);

		//能夠打印每一個重載的調用棧，對調試有巨大的幫助，固然，信息也不少，儘可能不要打印，除非分析陷入僵局
		Java.perform(function() {
		     var bt = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());
		        console.log("\nBacktrace:\n" + bt);
		});   

		// 打印參數
		if (arguments.length) console.log();
		for (var j = 0; j < arguments.length; j++) {
			console.log("arg[" + j + "]: " + arguments[j]);
		}

		//打印返回值
		var retval = this[targetMethod].apply(this, arguments); // rare crash (Frida bug?)
		console.log("\nretval: " + retval);
		console.warn("\n*** exiting " + targetClassMethod);
		return retval;
	}
}

這樣咱們對於方法的全部重載就處理好了，接下來是枚舉全部方法。

0x02.hook類的全部方法

仍是直接上代碼：

function traceClass(targetClass)
{
  //Java.use是新建一個對象哈，你們還記得麼？
	var hook = Java.use(targetClass);
  //利用反射的方式，拿到當前類的全部方法
	var methods = hook.class.getDeclaredMethods();
  //建完對象以後記得將對象釋放掉哈
	hook.$dispose;
  //將方法名保存到數組中
	var parsedMethods = [];
	methods.forEach(function(method) {
		parsedMethods.push(method.toString().replace(targetClass + ".", "TOKEN").match(/\sTOKEN(.*)\(/)[1]);
	});
  //去掉一些重複的值
	var targets = uniqBy(parsedMethods, JSON.stringify);
  //對數組中全部的方法進行hook，traceMethod也就是第一小節的內容
	targets.forEach(function(targetMethod) {
		traceMethod(targetClass + "." + targetMethod);
	});
}

0x03.hook類的全部子類

仍是上核心部分的代碼：

//枚舉全部已經加載的類
Java.enumerateLoadedClasses({
	onMatch: function(aClass) {
		//迭代和判斷
		if (aClass.match(pattern)) {
			//作一些更多的判斷，適配更多的pattern
			var className = aClass.match(/[L]?(.*);?/)[1].replace(/\//g, ".");
			//進入到traceClass裏去
			traceClass(className);
		}
	},
	onComplete: function() {}
});

0x04.hook本地庫的導出函數

// 追蹤本地庫函數
function traceModule(impl, name)
{
	console.log("Tracing " + name);
	//frida的Interceptor
	Interceptor.attach(impl, {
		onEnter: function(args) {

		console.warn("\n*** entered " + name);
		//打印調用棧
		console.log("\nBacktrace:\n" + Thread.backtrace(this.context, Backtracer.ACCURATE)
						.map(DebugSymbol.fromAddress).join("\n"));
		},
		onLeave: function(retval) {
		//打印返回值
		console.log("\nretval: " + retval);
		console.warn("\n*** exiting " + name);

		}
	});
}

0x05.動靜態結合逆向WhatsApp

終於到了實戰的時候，把以上代碼拼接起來，造成一個腳本，其實這個腳本awesome-frida
裏面也有介紹，代碼在這裏，就是有點小bug，經葫蘆娃修改好以後，終於能夠用了。

咱們來試下它的幾個主要的功能，首先是本地庫的導出函數。

setTimeout(function() {
	Java.perform(function() {
		trace("exports:*!open*");
		//trace("exports:*!write*");
		//trace("exports:*!malloc*");
		//trace("exports:*!free*");
	});
}, 0);

咱們hook的是open()函數，跑起來看下效果：

$ frida -U -f com.whatsapp -l raptor_frida_android_trace_fixed.js --no-pause

如圖所示*!open*根據正則匹配到了openlog、open64等導出函數，並hook了全部這些函數，打印出了其參數以及返回值。

接下來想要看哪一個部分，只要扔到jadx裏，靜態「分析」一番，本身隨便翻翻，或者根據字符串搜一搜。

好比說咱們想要看上圖中的com.whatsapp.app.protocol包裏的內容，就能夠設置trace("com.whatsapp.app.protocol")。

能夠看到包內的函數、方法、包括重載、參數以及返回值全都打印了出來。這就是frida腳本的魅力。

固然，腳本終歸只是一個工具，你對Java、安卓App的理解，和你的創意纔是相當重要的。

接下來能夠搭配Xposed module看看別人都給whatsapp作了哪些模塊，hook的哪些函數，實現了哪些功能，學習本身寫一寫。

固然，再強調一句，作外掛是違法行爲，千萬不要製做和分發任何App的外掛，不然等待你的只會是法律的制裁。